Ajustes de carga de MDM “Inicio de sesión único extensible” para dispositivos Apple
Utiliza la carga útil “Inicio de sesión único extensible” para definir extensiones de autenticación de usuario multifactor en iPhone, iPad o Mac inscritos en una solución de gestión de dispositivos móviles (MDM).
Esta extensión es para que los proveedores de identidad puedan ofrecer una experiencia sin problemas cuando los usuarios inician sesión en apps y sitios web. Cuando está correctamente configurada mediante MDM, el usuario se autentica una sola vez y obtiene acceso automáticamente a apps nativas y sitios web subsiguientes. Cuando las implementa el desarrollador, se pueden usar las demás funciones siguientes con la carga “Inicio de sesión único extensible”:
Llavero de iCloud
Autenticación multifactor
VPN por app
Notificación de usuario
Además de proporcionar las extensiones para inicio de sesión único para desarrolladores externos, iOS 13, iPadOS 13.1 y macOS 10.15 poseen una extensión Kerberos integrada que se puede usar para iniciar la sesión de los usuarios en apps nativas y sitios web compatibles con la autenticación Kerberos.
La carga útil “Inicio de sesión único extensible” es compatible con lo indicado a continuación. Para obtener más información, consulta Información de carga útil.
Método de aprobación compatible: Requiere aprobación del usuario.
Método de instalación compatible: Requiere una solución MDM para instalarlo.
Identificador de carga compatible: com.apple.extensiblesso
Sistemas operativos compatibles y canales: iOS, iPadOS, usuario de iPad compartido, dispositivo macOS, usuario de macOS, visionOS 1.1.
Tipos de inscripciones admitidas: Inscripción de usuarios, inscripción de dispositivos e inscripción automatizada de dispositivos.
Se permiten duplicados: True (verdadero): solo se puede entregar una carga “Inicio de sesión único extensible” a un usuario o dispositivo.
Con la carga útil “Inicio de sesión único extensible” puedes usar los ajustes de la tabla siguiente.
Ajuste | Descripción | Obligatorio | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
KDC preferidos: | La lista ordenada de los KDC preferidos que utilizar para el tráfico de tipo Kerberos. Esta clave debe usarse si no se pueden detectar los servidores mediante DNS. Si se especifican los servidores, se usan para las comprobaciones de conectividad y el primer intento de tráfico de tipo Kerberos. Si los servidores no responden, se usa la detección de DNS. El formato de cada entrada es el mismo que tendría en un archivo krb5.conf. | No | |||||||||
Identificador de extensión | El ID de paquete único de la app. | Sí | |||||||||
Identificador de equipo | El ID de equipo único de la app. | Sí | |||||||||
Tipo de inicio de sesión |
| Sí | |||||||||
Método de autenticación macOS 13 o posterior | El método de autenticación SSO de plataforma que usa la extensión. Requiere que la extensión de SSO también sea compatible con el método.
| No | |||||||||
Identificador de registro macOS 13 o posterior | El identificador que usa este dispositivo para el registro mediante SSO de plataforma. Se utiliza para el registro silencioso con el proveedor de identidades. El método de autenticación no puede estar vacío. | No | |||||||||
Reino | Todo el reino de Kerberos en el que se encuentra la cuenta del usuario. Esta clave se ignora para las cargas útiles de Redirigir. | No | |||||||||
Hosts | Dominios aprobados a los que se puede autenticar con la extensión de la app. | No | |||||||||
Direcciones URL | Son necesarias para las cargas útiles de Redirigir. En cambio, para las cargas útiles Credencial son innecesarias. Las URL deben comenzar por https:// o http://, el esquema y el nombre del host tienen que exactamente iguales (incluidas las minúsculas y las mayúsculas), no están permitidos los parámetros de consulta ni los fragmentos de URL, y las URL de las cargas útiles “Inicio de sesión único extensible” instaladas deben ser únicas. | No |
Nota: Cada proveedor de MDM implementa estos ajustes de forma diferente. Para ver cómo se aplican los diversos ajustes de la carga “Inicio de sesión único extensible” a tus dispositivos y usuarios, consulta la documentación de tu proveedor de MDM.